Microsoft Entra ID и требование 11 PCI-DSS

Требование 11. Регулярная проверка безопасности систем и сетей
Требования к определенному подходу

11.1 Процессы и механизмы регулярного тестирования системы и сетей определяются и понимаются.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
11.1.1 Все политики безопасности и операционные процедуры, определенные в требовании 11, являются:
документированными
актуализированными
используемыми
известными всем заинтересованным сторонам
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.
11.1.2 Роли и обязанности по выполнению действий в требованиях 11 документируются, назначаются и понимаются. Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.

11.2 Беспроводные точки доступа определяются и отслеживаются, а несанкционированные беспроводные точки доступа обрабатываются.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
11.2.1 Авторизованные и несанкционированные точки беспроводного доступа управляются следующим образом:
Наличие точек беспроводного доступа (Wi-Fi) проверяется.
Обнаружены и идентифицированы все авторизованные и несанкционированные беспроводные точки доступа.
Тестирование, обнаружение и идентификация выполняются по крайней мере каждые три месяца.
Если используется автоматизированный мониторинг, персонал уведомляется с помощью созданных оповещений.
Если ваша организация интегрирует точки доступа сети с Microsoft Entra ID для аутентификации, см. статью Requirement 1: Установка и обслуживание элементов управления безопасностью сети
11.2.2 Сохраняется инвентаризация авторизованных точек беспроводного доступа, включая документированное бизнес-обоснование. Неприменимо к Microsoft Entra ID.

11.3 Внешние и внутренние уязвимости регулярно определяются, приоритизируются и устраняются.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
11.3.1 Внутренние проверки уязвимостей выполняются следующим образом:
по крайней мере один раз в три месяца.
Устранены уязвимости с высоким и критическим риском в соответствии с рейтингом рисков уязвимостей, определенным в требовании 6.3.1.
Выполняется повторная проверка, которая подтверждает разрешение всех критических уязвимостей и рисков (как отмечалось).
Средство сканирования обновлено с последними сведениями об уязвимостях.
Сканирование выполняется квалифицированным персоналом при наличии организационной независимости тестировщика.
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, коннекторы приложение-прокси и т. д., в рамках проверки внутренних уязвимостей.
Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с Microsoft Entra ID?
Проверка и смягчение обнаруженных рисков, сообщаемых Microsoft Entra ID Protection. Интегрируйте сигналы с решениями SIEM, чтобы лучше интегрироваться с рабочими процессами исправления или автоматизации. Типы рисков и обнаружение
запускайте средство оценки Microsoft Entra регулярно и решайте проблемы. AzureADAssessment
Операции безопасности для инфраструктуры
Интеграция журналов Microsoft Entra с журналами Azure Monitor
11.3.1.1 Все остальные применимые уязвимости (те, которые не считаются высокими рисками или критически важными для ранжирования рисков уязвимостей сущности, определенных в требованиях 6.3.1), управляются следующим образом:
устранен на основе риска, определенного в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1.
При необходимости выполняется повторное сканирование.
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, коннекторы обратного прокси и т. д. в рамках проверки внутренних уязвимостей.
Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с Microsoft Entra ID?
Проверка и устранение рисков, сообщаемых Microsoft Entra ID Protection. Интегрируйте сигналы с решениями SIEM, чтобы лучше интегрироваться с рабочими процессами исправления или автоматизации. Типы рисков и обнаружение
запускайте средство оценки Microsoft Entra регулярно и решайте проблемы. AzureAD/AzureADAssessment
Операции безопасности для инфраструктуры
Интеграция журналов Microsoft Entra с журналами Azure Monitor
11.3.1.2 Внутренние проверки уязвимостей выполняются с помощью проверки подлинности следующим образом:
системы, которые не могут принимать учетные данные для проверки подлинности, документируются.
Достаточные привилегии используются для тех систем, которые принимают учетные данные для сканирования.
Если учетные записи, используемые для проверки подлинности, можно использовать для интерактивного входа, они управляются в соответствии с требованием 8.2.2.
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, коннекторы прокси приложений и т. д. в рамках проверки внутренних уязвимостей.
Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с Microsoft Entra ID?
Проверка и устранение рисков, сообщаемых Microsoft Entra ID Protection. Интегрируйте сигналы с решениями SIEM, чтобы лучше интегрироваться с рабочими процессами исправления или автоматизации. Типы рисков и обнаружение
запускайте средство оценки Microsoft Entra регулярно и решайте проблемы. AzureADAssessment
Операции безопасности для инфраструктуры
Интеграция журналов Microsoft Entra с журналами Azure Monitor
11.3.1.3 Внутренние проверки уязвимостей выполняются после любых значительных изменений следующим образом:
устраняются критически важные и высоко рисковые уязвимости (в соответствии с ранжированием рисков уязвимостей, определенных в требованиях 6.3.1).
При необходимости выполняется повторное сканирование.
Сканирование проводится квалифицированным персоналом, при этом тестировщик действует независимо от организации (не обязательно быть квалифицированным специалистом по безопасности (QSA) или утвержденным поставщиком сканирования (ASV)).
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, коннекторы прокси-сервера приложений и т. д., в рамках внутреннего сканирования уязвимостей.
Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с Microsoft Entra ID?
Проверяйте и устраняйте обнаруженные риски, сообщаемые Microsoft Entra ID Protection. Интегрируйте сигналы с решениями SIEM, чтобы лучше интегрироваться с рабочими процессами исправления или автоматизации. Типы рисков и обнаружение
запускайте средство оценки Microsoft Entra регулярно и решайте проблемы. AzureADAssessment
Операции безопасности для инфраструктуры
Интеграция журналов Microsoft Entra с журналами Azure Monitor
11.3.2 Внешние проверки уязвимостей выполняются следующим образом:
по крайней мере один раз в три месяца.
По стандарту PCI SSC ASV.
Устранены уязвимости и выполнены требования программы ASV для успешного прохождения проверки.
Повторное сканирование выполняется по мере необходимости, чтобы убедиться, что уязвимости устранены в соответствии с требованиями руководства по программе ASV для успешного прохождения сканирования.
Неприменимо к Microsoft Entra ID.
Проверка внешних уязвимостей 11.3.2.1 выполняется после любого значительного изменения следующим образом:
устранены уязвимости, оцененные 4.0 или более поздней версией CVSS.
При необходимости выполняется повторное сканирование.
Сканирование выполняется квалифицированным персоналом, а также существует организационная независимость тестировщика (не требуется быть QSA или ASV).
Неприменимо к Microsoft Entra ID.

11.4 Регулярно выполняются внешние и внутренние проверки на проникновение, а уязвимости и уязвимости безопасности исправляются.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
11.4.1 Методология тестирования на проникновение определена, документирована и реализована организацией и включает:
подходы к тестированию на проникновение, принятые в отрасли.
Покрытие для всей среды данных держателя карты (CDE) по периметру и критически важных систем.
Тестирование как внутри, так и за пределами сети.
Тестирование для проверки любых элементов управления сегментацией и сокращением области.
Тестирование на проникновение на уровне приложений для выявления, как минимум, уязвимостей, перечисленных в обязательных требованиях 6.2.4.
Тесты на проникновение на уровне сети, охватывающие все компоненты, поддерживающие сетевые функции и операционные системы.
Обзор и рассмотрение угроз и уязвимостей, возникших за последние 12 месяцев.
Документируемый подход к оценке и устранению риска, вызванного уязвимостями и недостатками безопасности, обнаруженными во время тестирования на проникновение.
Хранение результатов тестирования на проникновение и результаты действий по исправлению не менее 12 месяцев.
Правила проведения тестирования на проникновение в Microsoft Cloud
11.4.2 Выполняется внутреннее тестирование на проникновение:
в соответствии с определенной методологией организации.
По крайней мере один раз в 12 месяцев.
После обновления или изменения любой значительной инфраструктуры или приложения.
Квалифицированный внутренний ресурс или квалифицированный внешний сторонний поставщик.
Организационная независимость тестировщика обеспечена (не требуется быть QSA или ASV).
Правила проведения тестирования на проникновение в Microsoft Cloud
11.4.3 Проводится внешнее тестирование на проникновение:
в соответствии с определенной методологией организации.
По крайней мере один раз в 12 месяцев.
После обновления или изменения любой значительной инфраструктуры или приложения.
Квалифицированный внутренний ресурс или квалифицированная внешняя сторонняя сторона.
Организационная независимость тестировщика обеспечена (не требуется быть QSA или ASV).
Правила проведения тестирования на проникновение в Microsoft Cloud
11.4.4 Уязвимости и недостатки безопасности, обнаруженные во время тестирования на проникновение, исправляются следующим образом:
в соответствии с оценкой сущности риска, вызванной проблемой безопасности, как определено в требованиях 6.3.1.
Тестирование на проникновение повторяется для проверки исправлений.
Правила проведения тестирования на проникновение в Microsoft Cloud
11.4.5 Если сегментация используется для изоляции CDE от других сетей, тесты на проникновение выполняются на элементах управления сегментации следующим образом:
по крайней мере один раз каждые 12 месяцев и после любых изменений элементов управления сегментацией или методов.
Охватывает все элементы управления сегментации и методы, используемые.
Согласно определенной организацией методологии тестирования на проникновение.
Убедитесь, что элементы управления и методы сегментации функционируют и эффективны, обеспечивая изоляцию CDE от всех систем, не входящих в область.
Подтверждение эффективности любого использования изоляции для отдельных систем с различными уровнями безопасности (см. требование 2.2.3).
Выполняется квалифицированным внутренним ресурсом или квалифицированной внешней стороной.
Организационная независимость тестировщика обеспечена (не требуется быть QSA или ASV).
Неприменимо к Microsoft Entra ID.
11.4.6. Дополнительное требование только для поставщиков услуг. Если сегментация используется для изоляции CDE от других сетей, тесты на проникновение выполняются на элементах управления сегментации следующим образом:
по крайней мере один раз в шесть месяцев и после внесения изменений в элементы управления сегментацией или методы.
Охватывает все элементы управления сегментации и методы, используемые.
Согласно определенной организацией методологии тестирования на проникновение.
Убедитесь, что элементы управления и методы сегментации функционируют и эффективны, обеспечивая изоляцию CDE от всех систем, не входящих в область.
Подтверждение эффективности любого использования изоляции для отдельных систем с различными уровнями безопасности (см. требование 2.2.3).
Выполняется квалифицированным внутренним ресурсом или квалифицированной внешней стороной.
Организационная независимость тестировщика обеспечена (не требуется быть QSA или ASV).
Неприменимо к Microsoft Entra ID.
11.4.7Дополнительное требование только для поставщиков услуг с несколькими клиентами: поставщики услуг с несколькими клиентами поддерживают своих клиентов для проведения тестирования внешнего проникновения в соответствии с требованиями 11.4.3 и 11.4.4. Правила проведения тестирования на проникновение в Microsoft Cloud

11.5 Сетевые вторжения и непредвиденные изменения файлов обнаруживаются и реагируют на них.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
11.5.1 Методы обнаружения вторжений и (или) предотвращения вторжений используются для обнаружения и /или предотвращения вторжений в сеть следующим образом:
весь трафик отслеживается по периметру CDE.
Весь трафик отслеживается в критически важных точках CDE.
Персонал оповещен о предполагаемых компромиссах.
Все механизмы обнаружения и предотвращения вторжений, базовые показатели и подписи хранятся в актуальном состоянии.
Неприменимо к Microsoft Entra ID.
11.5.1.1. Дополнительное требование только для поставщиков услуг: обнаружение вторжений и /или методы предотвращения вторжений обнаруживают, оповещают и предотвращают, а также устраняют скрытые каналы связи с вредоносными программами. Неприменимо к Microsoft Entra ID.
11.5.2 Механизм обнаружения изменений (например, средства мониторинга целостности файлов) развертывается следующим образом:
для оповещения персонала о несанкционированном изменении (включая изменения, дополнения и удаления) критически важных файлов.
Для выполнения критических сравнений файлов по крайней мере один раз в неделю.
Неприменимо к Microsoft Entra ID.

11.6 Несанкционированные изменения на страницах оплаты обнаруживаются, и на них реагируют.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
11.6.1 Механизм обнаружения изменений и предотвращения вскрытия внедряется следующим образом:
Для оповещения персонала о несанкционированных изменениях (включая индикаторы компрометации, изменения, добавления и удаления) в заголовках HTTP и содержимом страниц оплаты, получаемых в браузере пользователя.
Механизм настроен для оценки полученного заголовка HTTP и страницы оплаты.
Функции механизма выполняются следующим образом: по крайней мере один раз в семь дней
или
периодически на частоте, определенной в целевом анализе рисков сущности, который выполняется по всем элементам.
Неприменимо к Microsoft Entra ID.

Следующие шаги

требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.